Jak ogarnąć logi?
- Michał Witkowski,
- 09.12.2010
Które zdarzenia są istotne?
Zdarzenia krytyczne to te, które powinny wyzwolić alarm i natychmiastową reakcję administratora. Jeśli nasz system zasypuje nas zdarzeniami tego typu, to pominąwszy ekstremalne przypadki, prawdopodobnie jest on zbyt wrażliwy.
Event Log Explorer to raczej wygodna przeglądarka logów niż narzędzie samodzielnie analizujące je
Ważne jest, aby nie traktować wszystkich pojawiających zwykle wpisów jako szumu. Dobrym przykładem są zapisy prób logowania użytkowników. Zrozumiałe jest, że pojawiać się będą zarówno rekordy udanych, jak i nieudanych prób. Dopiero ich znaczny wzrost może wskazywać na działanie złośliwego oprogramowania. Dobrze, jeżeli dla każdego wpisu określony jest średnioterminowy (kilka tygodni) poziom odniesienia. Jego przekroczenie może wskazywać na anomalię.
Narzędzia małe i duże
Logparser to całkowicie bezpłatne narzędzie ze stajni Microsoftu. Po zainstalowaniu uruchamiamy program z wiersza poleceń. Logparser pozwoli na wydobycie dzienników zdarzeń, logów IIS, Active Directory czy rejestru. Składnia przypomina zapytania SQL (na przykład polecenie Logparser -i:EVT -o:NAT "SELECT * FROM System" wypisze na konsoli wszystkie zdarzenia z dziennika SYSTEM). Wprawny administrator może za pomocą tego narzędzia napisać skrypt filtrujący najistotniejsze wpisy w logach kilku serwerów i umieścić je w bazie danych bądź wyeksportować do pliku htm, bądź CSV i np. używając jakiegoś silnika SMTP, rozesłać pocztą elektroniczną. Nie da się ukryć, że korzystanie z Logparsera wymaga pewnego zacięcia programistycznego i zdecydowanie brakuje tu możliwości graficznej prezentacji wyników czy analizy w trybie rzeczywistym.
Logparser Lizard jest graficzną nakładką na wyżej omawiany program. Pozwala ona na prezentację wyników działania Logparsera w postaci wykresów, a także na "wyklikanie" (zamiast ręcznego wpisywania) kilku podstawowych zapytań SQL. Zarówno Logparser, jak i Logparser Lizard mogą być przydatne do importowania czy wstępnego filtrowania logów generowanych w systemach Windows, trudno jednak nazwać je łatwymi i przyjaznymi.
Logparser jest bardziej narzędziem niż gotowym rozwiązaniem dla tych, którzy sami są w stanie zbudować system analizy logów.
Oprócz monitorowania dostępności usług sieciowych program Zenoss Core potrafi także śledzić dzienniki zdarzeń